,由玄境安全主办,3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区协办第二届全球DevSecOps敏捷安全大会(DSO2022)已通过全球直播的方式成功举办。本次大会以“共生·敏捷·进化”为主题,以“敏捷共生,守护中国软件供应链安全”为使命,聚焦DevSecOps敏捷安全、软件供应链三大典型应用场景的新进展安全性和云原生安全性。技术、新形势、新实践。会上,会议制作人、玄境安全创始人子亚以《DevSecOps敏捷安全技术演进洞察(2022)》为主题,围绕DevSecOps敏捷安全技术演进趋势和关键技术应用实践做了精彩分享,并正式发布了业界期待已久的第三版DevSecOps敏捷安全技术金字塔。让我们一起揭开“DevSecOps敏捷安全技术金字塔V3.0”的面纱。什么是DevSecOps敏捷安全技术金字塔?随着企业数字化转型的加速,越来越多的数字资产和员工处于传统企业基础设施的边界之外。同时,数字化转型带来的各种新业务、新技术也成为企业安全团队的防护对象。企业若想应对未来高级威胁和复杂场景的挑战,支持内生自我免疫、敏捷自适应、共生自我进化的主动防御安全架构成为必要选择。安全功能应拆分为许多原子安全功能。具备离散制造、集中交付、统一管理、智能应用等关键能力,通过控制层编排,组成满足不同业务场景安全需求的敏捷工具链和系统化解决方案。在这样的背景下,DevSecOps敏捷安全技术金字塔应运而生。由DSO敏捷安全大会基于DevSecOps敏捷安全前沿技术长期研究探索成果,以及悬空安全团队在软件供应链安全和云原生安全方面的研究成果而制作。多年的现场应用实践汇集,融合了国内外行业领先企业“安全左移,风险从源头管理”和“右移,敏捷安全运营”的实践思路,并继续内涵“工厂”的“自我免疫、敏捷自适应、共生自我进化”的关键特征(关注官方“玄境安全”公众号,可以参考子牙的专业著作《DevSecOps敏捷安全》学习更多的”)。其中,不同的敏捷安全技术栈落入金字塔不同实践层次的重点考虑主要围绕“技术创新、产品成熟度和市场需求”三个维度展开。图1DevSecOps敏捷安全技术金字塔V3.0DevSecOps敏捷安全技术金字塔V3.0有什么新变化?图2DevSecOps敏捷安全技术金字塔-演进对比作为DevSecOps敏捷安全技术的领先指南,本次发布的3.0版本不仅延续了敏捷安全技术层级与企业组织DevSecOps成熟度不成比例关系的编排原则,还介绍了跨领域新技术与敏捷安全技术的深度实践融合。DevSecOps敏捷安全技术金字塔V3.0根据不同阶段相关技术的应用成熟度和落地效果进一步细化了敏捷安全应用实践的层次,包括传统构建层、应用实践层(第一层敏捷安全实践)),技术探索层、效果衡量层、卓越层(最高层)共分为五个阶段,下面将一一进行技术解码:传统构建层:WAF、EDR、Deception、CKS、ASTs从网络安全技术演进和传统纵深防御体系构建来看,典型实用的安全技术主要分为边界流量分析技术、端点环境检测与响应技术、应用情境感知与响应技术.在PyramidV3.0中,Deception(攻击与欺骗)和CKS(容器与K8s安全)在玄境安全中首次被纳入并置于传统构建层,主要是考虑到趋势的发展和相关应用实践的成熟度,子牙提出,它们已经成为不同企业在不同场景下的基本应用需求。以CKS为例,随着容器、微服务等新型基础设施的日益普及,以及CKS技术门槛的大幅降低,该技术在构建传统安全体系的过程中被视为一项基础安全能力。WAF、EDR、AST这些传统纵深防御的关键技术,依然被选用。其中,ASTs包括三种传统的应用安全测试技术:SAST(白盒)、DAST(黑盒)和MAST(移动应用安全)。子牙还提到,AST技术有进一步融合的趋势。应用实践层:在应用实践层,IAST、SCA、RASP、BAS涵盖四大创新技术,不仅可以在日常应用实践过程中产生良好的应用效果,还可以与DevOpsCI/CD流水线软集成。其中RASP(RuntimeApplicationSelf-protection)在0DAY未知漏洞攻击防御、API威胁免疫、红蓝对抗、软件供应链攻击防御、应用东西向威胁流量检测与响应等方面表现较为出色。性能预期和技术性能的大幅提升越来越受到市场青睐,正积极从之前的技术探索层向DevSecOps敏捷安全技术实践的第一层迈进。子牙预计,未来三年,RASP将在HW、红蓝对抗等场景有更广阔的市场应用。另外,子牙强调,在这一层,IAST和RASP的深度融合是大势所趋。随着运行时智能存根插入、应用威胁态势感知、API智能检测与响应等关键技术的创新与突破,以IAST和RASP为核心的代码疫苗技术迎来蓬勃发展期。代码疫苗技术以单探针的形式,不仅可以在测试环境中实现应用风险检测、API挖掘、覆盖率分析,还可以赋能数字化应用,实现对攻击威胁的工厂免疫,提供运行时敏感等关键能力。数据跟踪,实现检测与响应一体化,支持软件供应链攻击防御、0DAY未知漏洞攻击防御、应用东西向威胁流量检测响应、无文件攻击检测响应、漏洞攻击全链路回溯等复杂应用场景,以及API威胁免疫。图3Allinone:“代码疫苗”单探针深度融合技术探索层:DRA、SDE、Fuzzing是DevSecOps敏捷安全技术实践的第二层。所推出的创新技术均具有较强的技术突破性,能够详细解决某些应用场景中的突出问题,但在总体应用效果、市场需求、实践等方面仍有较大提升空间的前瞻性技术。DRA(DataRiskAssessment,数据风险评估)是第一个引入Pyramid的创新技术。在子牙看来,DRA作为数据安全治理的基础,主要关注包括数据传输、个人隐私、数据生命周期管理、技术漏洞等在内的数据安全风险,不仅受到国家法律法规要求的大力推动,而且也是DevSecOps敏捷安全技术的实用要求。对此,子牙指出,随着DevSecOps敏捷安全技术应用实践的深入,敏捷安全体系建设将不再只关注应用级漏洞和外部攻击威胁,还将进一步深入到敏感领域。数据泄漏风险评估和治理。SDE(SecuringDevelopmentEnvironment)也是Pyramid引入的第一个创新技术,涉及保护完整的软件开发环境,包括但不限于源代码存储库、CI/CD管道、应用程序工件和用户身份信息。鉴于软件供应链攻击、开源工具的广泛使用和远程工作实践带来的风险增加,保护开发环境至关重要。子牙认为,通过近几年的RSAC创新沙盒大赛可以发现,代码安全和开发环境安全已经成为软件供应链安全的主要关注点,并呈现融合发展的趋势。该层第三个创新技术是Fuzzing(APIFuzzingTest),连续3次引入金字塔,专注于未知漏洞挖掘和异常风险发现。不过子牙表示,由于其独特的技术原理和较高的应用门槛,经常使用的用户对专业技能要求较高,在检测精度和技术性能上有较大的提升空间。需要一段时间才能成熟。效果衡量层:作为DevSecOps敏捷安全技术实践的第三层,ASOC和CNAPP引入了基于框架的平台技术,着重提升整个敏捷安全体系的运行效率,但在市场方面仍有巨大的提升空间需求与实践。ASOC(ApplicationSecurityOrchestrationandCorrelation)也是第一个引入金字塔的创新技术。子牙介绍,它是上一版金字塔中的ASTO(ApplicationSecurityTestingOrchestration,应用安全测试自动化编排)和AVC(ApplicationVulnerabilityCorrelation,应用漏洞关联)的结合。其核心优势在于,可以在很大程度上提高DevSecOps的运行效率,真正运行面向应用安全(Appsec)的DevSecOps敏捷安全工具链,是安全左移实践的重要抓手。ASTO强调安全工具链的向下排列,以智能化、自动化的方式完成安全活动;AVC从漏洞入手,引入漏洞关联分析方法,协助解决长期以来各种AST工具无法解决的误报、重复等问题,使用户做出更好的修复优先级判断。CNAPP(Cloud-NativeApplicationProtectionPlatform,云原生应用保护平台)也首次推出。它不是一个简单的拼凑工具,而是一种云原生的安全框架技术。通过将现有的云安全技术集成到一个统一的应用生命周期解决方案中,将现有的单点防护进行整合,实现从代码开发到构建再到部署运行的整个应用生命周期的安全可视化和安全防护。子牙指出,从这个角度理解,CNAPP是安全左移的典型体现。这也是敏捷右移实践思想的一个重要起点,重点是从保护基础设施到保护工作负载和运行在这些工作负载上的应用程序。摩擦。卓越层:CARTA作为DevSecOps敏捷安全技术实践的最高层,也是DevSecOps敏捷安全体系建设的终极愿景,已连续三年被CARTA占据。CARTA(ContinuousAdaptiveRiskandTrustAssessment,自适应风险和信任评估)从规划、建设和运营三个维度动态评估企业数字化业务在整个软件生命周期中面临的风险和信任。需要100%的信任,持续构建可信任、灵活的集研发、运维为一体的安全环境,让企业组织敏捷、与业务共生、持续演进参与软件供应链的安全建设与保障。图4CARTA自适应风险与信任评估框架Ziya强调,网络安全的本质是风险与信任的动态平衡。DevSecOps不是安全开发和安全运营的简单组合。安全发展的终结不能简单归结为漏洞解决,安全运营的终结也不能简单归结为威胁应对。相反,它应该从头开始(漏洞解决和威胁响应)。回归应用与系统,以人为本,结合智能自动化技术,实现共生、敏捷、演化的安全新局面,形成真正意义上的应用全生命周期的持续安全循环,这就是DevSecOps敏捷安全体系建设的终极愿景,也是DevSecOps莫比乌斯环真正的象征意义。DevSecOps敏捷安全技术如何落地?最后,子牙分享了DevSecOps轻量级应用在落地过程中的实用指南。轻量是指本指南不简单地面向DevSecOps敏捷安全技术金字塔中包含的所有技术,力求结合企业自身安全体系建设现状,在中短期内达到一定的实际效果,帮助企业用户逐步搭建适应自身业务的一套。弹性开发,面向敏捷业务交付,引领未来架构演进,兼顾文化、流程、技术演进、持续衡量的安全开发与运营共生体系。图5DevSecOps敏捷安全技术金字塔V3.0《DevSecOps轻量级应用实践指南》的发布,再次刷新了业界对软件供应链安全体系建设的新认识。未来安全技术演进趋势,软件供应链安全领域技术创新研究与实施实践演进方向,推动安全产业生态共建、共治、共享的实际行动,交付并初步践行了DSO敏捷安全大会“敏捷共生,守护中国软件供应链安全”的使命。
